Ratgeber / Datentransfer in Drittländer

Datentransfer in Drittländer: das dreistufige System nach Art. 44–49 DSGVO

„Dürfen wir noch US-Software nutzen?" ist seit dem Schrems-II-Urteil 2020 eine der meistgestellten Fragen in DSB-Foren. Die Antwort hängt vom Transfermechanismus ab: Kapitel V DSGVO (Art. 44–49) stellt drei Stufen bereit — Angemessenheitsbeschlüsse, geeignete Garantien und Einzelfall-Ausnahmen. Seit Juli 2023 gibt es mit dem EU-US Data Privacy Framework einen neuen Angemessenheitsbeschluss für zertifizierte US-Unternehmen.

Grundsatz: Übermittlungsverbot mit Erlaubnisvorbehalt (Art. 44 DSGVO)

„Drittland" im Sinne der DSGVO ist jeder Staat, der weder EU-Mitgliedstaat noch Vertragspartei des EWR-Abkommens (also weder Island, Liechtenstein noch Norwegen) ist. Auch die USA, Großbritannien (nach dem Brexit) und China fallen in diese Kategorie, wobei für Großbritannien ein eigener Angemessenheitsbeschluss besteht.

Art. 44 DSGVO, Satz 1: „Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten."

Art. 44 Satz 2 ergänzt eine allgemeine Schutzklausel: „Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird." Fehlt eine Grundlage aus Kapitel V, ist die Übermittlung rechtswidrig, auch wenn die Daten nach Art. 6 DSGVO im Inland rechtmäßig verarbeitet werden. Rechtmäßige Inlandsverarbeitung und zulässiger Drittlandtransfer sind zwei getrennte Voraussetzungen.

Das dreistufige System im Überblick

Kapitel V DSGVO stellt drei Instrumente bereit, die in einer Rangfolge stehen:

Stufe Rechtsgrundlage Instrument Beispiele
1 Art. 45 Angemessenheitsbeschluss der Kommission EU-US DPF (2023), Japan, Schweiz*, UK, Kanada (kommerziell)
2 Art. 46 Geeignete Garantien (SCCs, BCRs, Verhaltensregeln, Zertifizierungen) Standardvertragsklauseln (SCCs), Binding Corporate Rules (BCRs, Art. 47)
3 Art. 49 Ausnahmen für Einzelfälle Ausdrückliche Einwilligung, Vertragserfüllung, nicht wiederkehrende Übermittlung

* Der Angemessenheitsbeschluss für die Schweiz stammt noch aus dem Jahr 2000 (Entscheidung 2000/518/EG der Kommission vom 26. Juli 2000) und wurde unter der Vorgänger-Richtlinie 95/46/EG erlassen — nicht unter der DSGVO. Nach Art. 45 Abs. 9 DSGVO gelten solche „alten" Beschlüsse jedoch unverändert fort, bis sie durch einen neuen Beschluss geändert, ersetzt oder aufgehoben werden. Die EU-Kommission hat die Angemessenheit der Schweiz zuletzt in ihrem Bericht vom 15. Januar 2024 auch unter DSGVO-Maßstäben bestätigt, ohne einen neuen förmlichen Beschluss zu erlassen.

Art. 45
Angemessenheitsbeschluss (bequemste Grundlage)
Art. 46
Geeignete Garantien (häufigste Praxis)
Art. 49
Ausnahmen (nur Einzelfälle, kein Dauerbetrieb)

Stufe 1: Angemessenheitsbeschluss — der EU-US Data Privacy Framework

Nach Art. 45 Abs. 1 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland vorgenommen werden, „wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet". Ein solcher Beschluss bedeutet, dass kein eigener Transfermechanismus aus Kapitel V geschaffen werden muss — alle übrigen DSGVO-Pflichten (insbesondere technisch-organisatorische Maßnahmen nach Art. 32, Auftragsverarbeitungsvertrag nach Art. 28, Transparenzpflichten nach Art. 13/14) bleiben aber uneingeschränkt bestehen.

Das bedeutsamste neue Instrument: Am 10. Juli 2023 nahm die EU-Kommission den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (EU-US DPF) an. Er ersetzt das 2020 durch den EuGH („Schrems II", C-311/18) gekippte EU-US Privacy Shield. Grundlage des DPF ist eine Executive Order des US-Präsidenten vom 7. Oktober 2022, die neue bindende Garantien für die Kontrolle von Geheimdiensteingriffen einführt und einen unabhängigen Rechtsbehelfsmechanismus für EU-Bürgerinnen und -Bürger schafft.

Wichtig für die Prüfung: Das EU-US DPF gilt nicht für alle US-Unternehmen automatisch. Es deckt nur US-Unternehmen ab, die sich beim US-Handelsministerium (Department of Commerce) zertifiziert haben und der Aufsicht der FTC oder des DoT unterliegen. Zuverlässig strukturell ausgeschlossen sind vor allem Banken, Sparkassen und Kreditgenossenschaften (diese unterliegen Bankenaufsichtsbehörden, nicht der FTC) sowie Telekommunikations- und Transportunternehmen, soweit sie als Massenverkehrsunternehmen („common carriers") der FCC- bzw. DoT-Regulierung unterliegen. Bei Versicherungen ist die Rechtslage differenzierter: Die FTC-Zuständigkeit für Versicherungsgeschäfte ist zwar eingeschränkt (u. a. durch bundesstaatliche Versicherungsaufsicht), aber nicht generell ausgeschlossen — zahlreiche Versicherungsunternehmen unterliegen für Teile ihrer Geschäftstätigkeit durchaus der FTC-Aufsicht und können sich entsprechend zertifizieren. Zudem deckt eine allgemeine DPF-Zertifizierung HR-Daten aus dem EWR nur ab, wenn das Unternehmen in seiner Datenschutzrichtlinie ausdrücklich angibt, HR-Daten unter dem DPF zu verarbeiten. Ob ein konkreter Anbieter teilnimmt und welche Datenkategorien umfasst sind, ist im öffentlichen DPF-Register (dataprivacyframework.gov) prüfbar. Für nicht teilnahmeberechtigte oder nicht zertifizierte US-Unternehmen ist weiterhin ein anderer Übertragungsmechanismus — typischerweise SCCs nach Art. 46 — erforderlich.

Art. 45 Abs. 3 DSGVO verpflichtet die Kommission, Angemessenheitsbeschlüsse mindestens alle vier Jahre zu überprüfen. Für die DSB-Prüfung relevant: Ein Beschluss kann durch das Europäische Parlament oder den Rat angefochten werden, und der EuGH hat in der Vergangenheit (Safe Harbor 2015, Privacy Shield 2020) zwei Vorgänger-Beschlüsse für ungültig erklärt.

Stufe 2: Geeignete Garantien — Standardvertragsklauseln und BCRs

Fehlt ein Angemessenheitsbeschluss oder nimmt das betreffende US-Unternehmen nicht am DPF teil, greift Art. 46 DSGVO. Nach Art. 46 Abs. 1 darf ein Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten an ein Drittland nur übermitteln, „sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen".

Standardvertragsklauseln (SCCs)

Das in der Praxis am häufigsten genutzte Instrument sind die Standardvertragsklauseln (Standard Contractual Clauses, SCCs), die die EU-Kommission nach Art. 46 Abs. 2 lit. c DSGVO erlässt. Sie regeln vertraglich die datenschutzrechtlichen Pflichten zwischen dem Datenexporteur in der EU und dem Datenimporteur im Drittland. SCCs benötigen keine vorherige Genehmigung einer Aufsichtsbehörde. Praktiker berichten häufig, dass Cloud-Anbieter und SaaS-Unternehmen SCCs als Standardbestandteil ihrer Datenschutzverträge (DPA) einbinden — aufbauend auf dem, was im Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geregelt ist. Bei Auftragsverarbeitern, die in Drittländern sitzen, müssen also beide Vertragswerke vorliegen.

SCCs allein reichen nach Schrems II nicht immer aus: Nach dem EuGH-Urteil Schrems II (16. Juli 2020, C-311/18) und den EDPB Recommendations 01/2020 müssen Exporteure vor Abschluss von SCCs prüfen, ob das Recht und die Praxis im Empfängerland die Wirksamkeit der Klauseln beeinträchtigen könnte (Transfer Impact Assessment, TIA). Ist das der Fall, sind entweder zusätzliche Schutzmaßnahmen zu treffen oder die Übermittlung zu unterlassen. SCCs sind daher kein „Unterschreiben und Vergessen"-Instrument, sondern setzen eine dokumentierte Einzelfallprüfung voraus.

Verbindliche interne Datenschutzvorschriften (BCRs, Art. 47)

Für Unternehmensgruppen oder Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sieht Art. 47 DSGVO sogenannte Binding Corporate Rules (BCRs) vor. BCRs sind unternehmensweite Datenschutzrichtlinien, die für alle Mitglieder rechtlich bindend sind — sowohl für die Organisationsmitglieder als auch ihre Beschäftigten. Sie müssen Angaben zu Datenflüssen, Datenschutzgrundsätzen, Betroffenenrechten, Haftungsregelungen und Compliance-Mechanismen enthalten. BCRs erfordern die Genehmigung der zuständigen Aufsichtsbehörde und sind daher deutlich aufwendiger als SCCs. In der Praxis nutzen sie vor allem internationale Konzerne für konzerninterne Übermittlungen.

Stufe 3: Ausnahmen nach Art. 49 DSGVO — nur für Einzelfälle

Ein weit verbreiteter Denkfehler in Foren und DSB-Fachcommunities: „Wir haben keine SCCs — aber der Nutzer hat ja zugestimmt" oder „die Übermittlung ist für die Vertragserfüllung nötig". Art. 49 DSGVO kennt solche Ausnahmen, ist aber nicht als dauerhafter Ersatz für einen Transfermechanismus gedacht.

  • Art. 49 Abs. 1 lit. a (Einwilligung): Die betroffene Person muss „in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt" haben, nachdem sie über die Risiken ohne Angemessenheitsbeschluss unterrichtet wurde. Die Einwilligung muss den hohen Anforderungen des Art. 7 DSGVO genügen.
  • Art. 49 Abs. 1 lit. b (Vertragserfüllung / vorvertragliche Maßnahmen): Die Übermittlung ist zulässig, wenn sie „für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich" ist — etwa eine Buchung bei einem US-Hotel oder die Bearbeitung einer Kundenanfrage vor Vertragsschluss.
  • Art. 49 Abs. 1 Unterabsatz 2 (zwingend berechtigtes Interesse): Eine Übermittlung auf Grundlage zwingender berechtigter Interessen des Verantwortlichen ist nur zulässig, wenn sie „nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft", keine überwiegenden Rechte und Freiheiten der betroffenen Person entgegenstehen und der Verantwortliche zusätzlich alle Umstände der Datenübermittlung beurteilt und auf dieser Grundlage „geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen" hat. Erst wenn auch dieses Tatbestandsmerkmal erfüllt ist, muss der Verantwortliche zudem die Aufsichtsbehörde informieren sowie die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen unterrichten.
Häufiger Prüfungsfehler: Art. 49-Ausnahmen erlauben keine systematische oder routinemäßige Nutzung von US-Diensten ohne anderen Transfermechanismus. Wer regelmäßig Kundendaten an ein US-CRM überträgt, kann dies nicht dauerhaft auf „Vertragserfüllung" oder eine pauschale Einwilligung stützen. Für solche Dauertransfers sind SCCs oder — bei zertifizierten US-Anbietern — das EU-US DPF der richtige Weg.

Bezug zur Datenschutz-Folgenabschätzung

Drittlandtransfers erhöhen das Risiko für betroffene Personen oft erheblich, weil das Datenschutzniveau im Bestimmungsland geringer sein kann. Art. 35 DSGVO selbst nennt Drittlandtransfers nicht als eigenständigen DSFA-Auslösetatbestand; die Pflicht zur Datenschutz-Folgenabschätzung (DSFA) entsteht nach Art. 35 Abs. 1, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, sowie in den Regelbeispielen des Art. 35 Abs. 3. Viele nationale Aufsichtsbehörden haben auf Grundlage von Art. 35 Abs. 4 DSGVO Positivlisten erlassen, die Drittlandtransfers in Länder ohne Angemessenheitsbeschluss und ohne geeignete Garantien als DSFA-pflichtige Verarbeitungsart ausweisen. Ergibt eine DSFA, dass die Verarbeitung — einschließlich des Transfers — ohne ausreichende Abhilfemaßnahmen ein hohes Risiko zur Folge hätte, muss der Verantwortliche vor der Übermittlung die Aufsichtsbehörde nach Art. 36 DSGVO konsultieren.

Häufige Fragen

Was ist der Unterschied zwischen EU-US Privacy Shield und EU-US Data Privacy Framework?

Der EU-US Privacy Shield wurde am 16. Juli 2020 durch den EuGH (Urteil „Schrems II", C-311/18) für ungültig erklärt, weil er keinen ausreichenden Schutz vor US-Geheimdienstzugriffen bot. Als Nachfolger nahm die EU-Kommission am 10. Juli 2023 den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (DPF) an. Das DPF stützt sich auf neue US-Rechtsgarantien und einen unabhängigen Überprüfungsmechanismus für Beschwerden betroffener Personen.

Braucht man für einen US-Cloud-Dienst, der am DPF teilnimmt, trotzdem einen AVV?

Ja. Der Angemessenheitsbeschluss nach Art. 45 DSGVO ersetzt den Transfermechanismus, nicht den Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Wenn ein US-Anbieter als Auftragsverarbeiter tätig ist, muss unabhängig vom DPF ein AVV abgeschlossen werden, der die Pflichten des Verarbeiters und die Weisungsbindung regelt.

Drittlandtransfers sicher beherrschen

Übe Art. 44–49 DSGVO, das EU-US Data Privacy Framework und alle weiteren Prüfungsthemen mit Prüfungssimulation — Vorbereitung auf die Zertifizierung zum Datenschutzbeauftragten (TÜV / DEKRA).

Kostenlos registrieren